Arvutiteaduse instituut
  1. Kursused
  2. 2017/18 kevad
  3. Operatsioonisüsteemid (MTAT.08.006)
EN
Logi sisse

Operatsioonisüsteemid 2017/18 kevad

  • Esileht
  • Loengud
  • Praktikumid
  • Lingid
  • Wiki vormistusest

Turvalisusest

Programmide käivitamine teise kasutaja õigustes

Käivitatava programmi lingil (programmil) parema hiirenupuga klõpsates tekkinud kontekstimenüüs on valik programmi käivitamiseks Administraatoriõigustes.

Kui millegipärast on tarvis käivitada aga programm mõne teise kasutaja õigustes, siis tuleb kontekstimenüü avada kombinatsiooniga [Shift]+parem hiirenupp.

Windows 10

Windows 10 käivitusmenüü kontekstimenüü ei sisalda programmide käivitamist TEISE kasutaja õigustes. Siiski on see võimalik kasutades vaheüleminekut 'Open File Location' ja avanenud kaustas parema hiirenupuga klõpsates saab juba täielikuma kontekstimenüü. Esimesel pildil on vaikimisi start-menüü kontekstimenüü, teisel pildil programmifaili otsetee kontekstimenüü ja kolmandal pildil on lisaks Shift klahv alla vajutatud kontekstimenüü avamisel.

Windows 8

Metro avamenüüs ma sellist võimalust ei näinud, et käivita programm TEISE kasutaja õiguses. Küll aga töölaual asuval ikoonil kombinatsioon [Shift]+parem hiirenupp annab tulemuseks kontekstimenüü, kus on Käivita teise kasutajana täiesti olemas.

NTFS failisüstemi õigused

NTFS failisüsteemis saab anda kasutajate ja kasutajagruppide kataloogidele ja failidele erinevaid ligipääsuõiguseid. Failidele ja kaustadele ligipääsuõiguste seadmine on esimeseks sammuks süsteemi turvalisemaks seadmisel.
Vaikimisi saab loodud kaust või fail õigused vanemkausta (parent folder) järgi. Kui luua kaust otse C: kettale, siis saab õigused C:\ kettalt.

Järgnevalt mõned olulised punktid NTFS failisüsteemi kohta:

  1. Õigused on kumulatiivsed. Kaustale, milles on määratud erinevad ligipääsuõigused mitmele kasutajagrupile, saab kasutaja, kes kuulub mitmesse antud kaustaga seotud gruppi, ligi suurimate lubatud õigustega. Olgu näiteks kaust KALA Selles kaustas olevaid faile tohivad lugeda kasutajagrupi JAHIMEES liikmed.
    Samas tohivad kasutajagruppi KALUR kuuluvad isikud ka sinna kausta uusi faile luua ja olemasolevaid üle kirjutada. Kasutaja Peeter, kes kuulub gruppidesse KALUR ja JAHIMEES, saab antud kausta samuti uusi faile luua, sest need õigused saab ta kasutajagruppi KALUR kuuludes.
  2. Keelamine (Deny) on tugevam lubavatest õigustest. Kausta, milles on seatud mingile grupile õiguste keeld, ei saa kasutaja keelatud õigusi kasutada isegi siis, kui teises grupis on tal need õigused
  3. Tegevus on keelatud ≠ kasutajal ei ole lubatud. Failidele ja kaustadele õiguste seadmisel tuleks eelistada lubavaid õiguseid (kui mingi tegevus ei ole lubatud, siis seda teha ka ei saa). Vaikimisi saab kasutaja teha ainult neid tegevusi, mis on talle ligipääsuõigustega lubatud.
  4. Failiõigused erinevad kaustaõigustest. Kui failile seatud õigused mõjutavad ainult antud faili, siis kaustade õiguste seadmise puhul on võimalik õigused ka alamkataloogidele pärandada.
  5. Faili- ja kaustaõiguste pärimine. Õiguste pärimise lubamisel saab alamkaust õigused ülemkausta järgi.
  6. Õigused võivad muutuda andmete kopeerimisel/teisaldamisel. Kopeerimisel saab fail/kaust õigused sihtpunktis asuva ülemkausta järgi (õiguste pärimine). Faili/kausta teisaldamisel jäävad õigused endiseks. Faili/kausta teisaldamisel teisele partitsioonile antakse õigused sihtpunktis asuva ülemkausta järgi.
Näiteks: faili kopeerimine mälupulgale (mälupulgal on teine failisüsteem: FAT32 ja kasutajaõiguseid ei tunnistata).

Kataloogi/faili õiguste muutmiseks tuleks vaadata vastava faili või kataloogi atribuute ning seal muuta paneelil Turve (Security) õiguseid. Kataloogide korral on tarvis muuta kindlasti eriõiguseid ehk nupp Täpsemalt.

CREATOR OWNER – faili või kausta looja ja omanik.
Authenticated Users - kasutajad, kes ei ole Users grupis kuid on kirjeldatud süsteemis (nt admin kasutaja jms).
Faili ja kaustaõiguste seadmisel tuleb jälgida ka seda, millistele objektidele (failidele ja kaustadele) need kehtivad.

NTFS failisüstemi õiguste seadistamine Windows 10 operatsioonisüsteemis.

Kaust -> Properties. Security

Lihtsustatud ligipääsuõiguses siin muutmiseks klõpsata Edit. Praktilistes olukordades soovitan siiski muuta Advanced nupu kaudu kaustaõiguseid (saan lubada/keelata pärimist jne).

Security -> Advanced

Detailsed kaustaõigused. Siin on kolm paneeli, õiguste seadistamiseks, auditi tegemiseks ja viimane paneel: Effective Access laseb valida mõne kasutaja, kellele kehtivaid õiguseid soovitakse näha.

Security -> Advanced -> Disable inheritance

Kui ma keelan pärilusseaded, siis ülalttulnud õigusseaded enam ei kehti - saan keelata nt kasutajagrupil Users kaustale ligipääsu.

Tavaliselt tasub valida pildil märgitud valik õigustega edasimineku osas. See tähendab, et olemasolevate õiguste baasil saan muuta/eemaldada/lisada õiguseid. (Kergem on kirjeid kustutada, kui neid juurde kirjutada).

Õiguste juures tasub jätta alles Administrators ja System kirje - muidu võib juhtuda, et nt kausta ei saa kustutada/parandada õiguseid isegi opratsioonisüsteemi administraator.

Security -> Advanced -> Add

Uue ligipääsukirje loomine. Esmalt tuleb valida objekt (kasutaja), kellele kaustaõiguseid määrama hakatakse, pärast seda muutuvad pildilolevad hallid alad muudetavaks.

Security -> Advanced -> Add -> Peeter -> Show Advanced permissions

Kasutajale õiguste seadmine kaustal.

Type: lubavad või keelavad õigused (vaikimisi - kui ei ole lubatud, siis ligipääsu tegelikult ei ole, seega tasub ainult lubavate õigustega mängida).

Applies to: kehtivusala (failid, kaustad, parasjagu avatud kaust jne).

Advanced permissions: õigused. Saab üksikasjalikult määrata, missugused õigused kehtivad.

NB! Kui tahta erinevaid õiguseid parasjagu aktiivse kausta ja nt kasutaja loodud alamkaustade jaoks, siis tuleb kasutada sama nimega Add kaks korda.

Security -> Effective Access

Ma ei pea kasutajana, kellele olen ligipääsupiiranguid pannud, sisse logima, et neid testida.

cmd.ee (run as administrator) -> icacls C:\kala

Failiõiguste lisamiseks/eemaldamiseks on võimalik ka kasutada käsureakäske. Windows ise soovitab kasutada icacls käsku. Tulemus näeb välja selline. icacls juhend techneti leheküljel

NTFS failisüstemi õigused (ülesanded)

Tahan saada olukorda, kus arvutis on kaustad C:\poisid ja C:\tydrukud ning ligipääsuõigused on AINULT nendele vastavatele kasutajagruppidele.

  1. Loo kaustad:
    1. C:\Poisid
    2. C:\Tydrukud
  2. Anna kasutadele järgmised õigused:
    1. C:\Poisid - seda kausta saavad kasutada(lugeda/kirjutada) ainult kasutajagrupi Poisid liikmed. System ja Administrators grupil on täielik õigus. Testida.
    2. C:\Tydrukud - seda kausta saavad kasutada (lugeda/kirjutada) ainut kasutajagrupi Tydrukud liikmed. System ja Administrators grupil on täielik õigus. Testida.
  3. Ava käsurida administraatori õigustes ja kontrolli sellega ülaltoodud kaustade failiõiguseid.
  4. Vaata pilti. Anna kasutajale Peeter samasugused õigused nagu on siin kasutajal Peeter, kaustale Poisid. Tee pildid (icacls abil kui ka õiguste seadistamise aknast).

Kodune ülesanne: 3p.

  1. Must kast. Mustaks kastiks nimetatakse kataloogi, milles olevaid faile kasutaja ei näe ega saa muuta/kustutada, aga ta saab sinna uusi faile juurde luua. (Näiteks jagatud kaust kontrolltööde tulemuste esitamiseks. Iga kasutaja peab üles laadima faili, kuid ei saa olemasolevaid faile muuta/kustutada/lugeda).
Tee musta kasti kataloog. Nimega: mustkast. Mõtle välja, mis õigused tuleb sinna panna, tee seda. Testi. Wikisse aruanne.

Tuju parandamiseks - 2 boonuspunkti

  1. M:\os (\\math.ut.ee\materjalid) kataloogis on fail ikoon.ico. Seda kasutades tekita olukord, kus Windows Exploreri käivitamisel C: ketta ikoonina näidatakse antud ikooni.
  2. Tee Windows Explorerist pilt (selline vaade, et C: ketta ikoon on näha ja samuti arvuti nimi) Wiki jaoks ja kirjuta, mida tuli antud tulemuse saavutamiseks teha.

Tulemused Wikisse

  1. Pane Wikilehele praktikumitulemused välja
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused